Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Mozilla Firefox 취약점 (CVE-2015-4495)

업데이트됨 -

Red Hat 제품 보안팀은 Mozilla Firefox 웹 브라우저에서의 보안 취약점을 인지하고 있습니다. 해당 취약점을 악용하면 악의적으로 조작된 웹 페이지를 통해 로컬 파일을 읽을 수 있습니다. 본 결함은 CVE-2015-4495에서 다루고 있으며 중요 등급으로 평가되어 있습니다. Red Hat은 이러한 문제에 대해 보고해 주신 Mozilla 프로젝트팀에게 감사의 말씀을 전합니다.

배경 정보

본 결함은 Mozilla Firefox에서 발견된 것으로 공격자가 Firefox를 실행하는 사용자 권한으로 로컬 파일에 액세스할 수 있게 합니다.

본 결함은 Mozilla Firefox에 있는 PDF 파일 뷰어 (PDF.js)에서 발견되었습니다. 공격자는 악의적으로 조작된 웹 페이지를 생성하여 사용자가 이 페이지를 확인할 때 Firefox를 실행하는 시스템에서 임의의 파일 (비공개 SSH 키, /etc/passwd 파일, 기타 중요한 파일 포함)을 탈취할 수 있습니다.

이러한 버그는 Mozilla PDF.js 파일 뷰어에 있는 결함에 의한 것으로 동일 출처 정책 (Same-Origin Policy)을 무시하고 악성 JavaScript가 시스템에서 파일을 탈취하게 하는데 사용될 수 있습니다.

영향

본 결함은 공개적으로 악용되고 있으며 특히 Linux 시스템을 대상으로 취약점이 악용됨으로 알려져 있습니다. Mozilla Firefox 브라우저를 사용하는 모든 Red Hat 제품은 이러한 문제의 영향을 받습니다.

알림: SELinux 기능은 본 문제를 완화시키지 못합니다.

보안 권고

아래에서 문제 해결을 위한 보안 권고를 참조하십시오:

제품 권고
Red Hat Enterprise Linux 5 RHSA-2015:1581-1
Red Hat Enterprise Linux 6 RHSA-2015:1581-1
Red Hat Enterprise Linux 7 RHSA-2015:1581-1

해결 방법

취약점이 악용될 가능성을 제거하려면 위의 표에 나열된 권고에서 제공하는 업데이트된 firefox 패키지를 설치한 후 애플리케이션을 다시 시작합니다.

업데이트를 설치하려면 다음과 같이 yum package manager를 사용합니다:

yum update

firefox 패키지 및 종속 패키지만을 업데이트하려면 다음을 사용합니다:

yum update firefox

완화

Firefox에서 PDF.js를 활성화해야 이러한 결함이 발생합니다. 다음과 같이 PDF.js를 비활성화할 수 있습니다:

  1. Firefox 주소 표시줄에 about:config를 입력합니다
  2. pdfjs.disabled 항목을 검색합니다
  3. pdfjs.disabled 항목을 True로 설정합니다

참조 정보

Mozilla 권고 2015-78
Mozilla 보안 블로그